استهدفت مجموعة القرصنة المعروفة باسم OilAlpha التي لها صلات محتملة بحركة الحوثي اليمنية؛ الجماعات الإنسانية ووسائل الإعلام والمنظمات غير الربحية في شبه الجزيرة العربية عبر تطبيق واتساب كجزء من حملة تجسس رقمية، وفقًا لتقرير جديد صادر عن شركة الأمن السيبراني Recorded Future.
وأشارت الشركة في تقريرها الذي ترجمه "يمن شباب نت"، إلى أنه في الفترة من أبريل إلى مايو 2022، في الوقت الذي استضافت فيه المملكة العربية السعودية مفاوضات بين القادة اليمنيين المشاركين في الحرب الأهلية المستمرة منذ ما يقرب من عقد من الزمان، أرسلت شركة OilAlpha ملفات اندرويد ضارة عبر الواتساب إلى الممثلين السياسيين والصحفيين.
ويبدو أن مجموعة القرصنة تفضل استخدام أدوات الوصول عن بعد لتثبيت برامج التجسس المحمولة مثل SpyNote و SpyMax.
وقالت الشركة إن شركة OilAlpha ستستمر على الأرجح في استخدام التطبيقات الخبيثة المستندة إلى الاندرويد "لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن."
ويتضمن كل من برنامجي التجسس SpyNote و SpyMax القدرة على الوصول إلى "سجلات المكالمات، وبيانات الرسائل القصيرة، ومعلومات الاتصال، ومعلومات الشبكة، والوصول إلى كاميرا الجهاز والصوت، بالإضافة إلى بيانات موقع GPS، من بين أمور أخرى"، طبقا لما أشار التقرير. وبالمثل، تركز شركة OilAlpha's على هواتف اندرويد المتوفرة على نطاق واسع في المنطقة.
ولم تنسب شركة Recorded Future شركة 'اويل الفا ' إلى جماعة الحوثيين. كما ليس لدى Recorded Future أي مؤشر على مدى نجاح عمليات شركة OilAlpha منذ أن بدأت في تتبع المجموعة.
وتعتقد الشركة أن المجموعة انتحلت أيضًا منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع مسام الذي يزيل الألغام الأرضية في المنطقة، حسبما أشار التقرير بعد العثور على رموز مع تلك المنظمات في البرامج الضارة.
وقالت شركة "ريكورديد فيوتشر" أيضًا إن المجموعة انتحلت أيضًا في طلبات لها منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر. تقوم كل هذه المنظمات إما بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن.
وأضافت الشركة "باستثناء اكتشاف معلومات جديدة أو تحولات جيواستراتيجية أوسع، من المرجح أن تستمر شركة OilAlpha في استخدام التطبيقات الخبيثة المستندة على نظام الاندرويد لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن".
يبدو أن المجموعة لم تفعل الكثير لإخفاء بنيتها التحتية. حيث قالت شركة ريكورديد فيوتشر إن شركة OilAlpha تستخدم في الغالب شركة الاتصالات العامة اليمنية التي من المحتمل أن تكون تحت سيطرة سلطات الحوثيين.
بالإضافة إلى ذلك، استخدمت المجموعة بشكل شبه حصري DNS الديناميكي، والذي كان بمثابة مؤشر آخر لربطه بالحوثيين، حسبما لاحظته شركة Recorded Future.
وقالت الشركة إنها لا تستطيع التأكد من سبب اعتماد المجموعة على البنية التحتية التي تبدو ضعيفة في الأمن التشغيلي، لكنها لم تتمكن من العثور على أي دليل مماثل يشير إلى بنية تحتية مخترقة أو علامة زائفة.
وأشارت ريكورديد فيوتشر إلى أنه لا توجد أدلة كافية لتحديد ما إذا كان العملاء اليمنيون مسؤولين عن حملة شركة OilAlpha أو ما إذا كانت مجموعات التهديد الأخرى في المنطقة قد تكون وراء الحملة المستمرة.
كما تشير ريكورديد فيوتشر إلى أن "جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي، أو حتى المشغلين الإيرانيين الذين يدعمون [الحرس الثوري الإسلامي]، ربما قادوا نشاط التهديد هذا"، استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب الاهلية باليمن.